Direttiva NIS 2: le nuove sfide della cybersecurity
Come noto la Direttiva UE 2022/2555, c.d. NIS II (Network Information Security) ha abrogato la c.d. «Direttiva NIS» cioè a dire la Direttiva UE 2016/1148 del 6 luglio 2016. La nuova Direttiva NIS modernizza il quadro giuridico esistente tenendo conto della crescente digitalizzazione del mercato interno avvenuta negli ultimi anni e del panorama in rapida evoluzione delle minacce alla cibersicurezza. Entrambi i fenomeni si sono ulteriormente amplificati dall'inizio della crisi COVID-19. Il nuovo provvedimento affronta, inoltre, alcune carenze che hanno impedito alla direttiva NIS di realizzare appieno il suo potenziale.
(Nella foto: l'Avv. Michele Iaselli. Il 28.03.2023 sarà relatore al Seminario online 'Cybersecurity & Privacy: due facce della stessa medaglia')
Nonostante gli importanti risultati ottenuti, la direttiva NIS, che ha spianato la strada a un significativo cambiamento di mentalità in relazione all'approccio istituzionale e normativo alla cibersicurezza in molti Stati membri, ha mostrato anche i suoi limiti. La trasformazione digitale della società (intensificata dalla crisi COVID-19) ha ampliato il panorama delle minacce e sta lanciando nuove sfide, che richiedono risposte adeguate e innovative. Gli attacchi informatici sono in continuo aumento, molti dei quali, sempre più sofisticati, provengono da un'ampia gamma di fonti interne ed esterne all'UE.
La valutazione del funzionamento della direttiva NIS, condotta ai fini della valutazione d'impatto, ha identificato i seguenti problemi: 1) il basso livello di cyber resilienza delle imprese operanti nell'UE; 2) i diversi livelli di resilienza tra Stati membri e tra settori; e 3) il basso livello di consapevolezza situazionale comune e la mancanza di una risposta comune alle crisi.
Ad esempio, alcuni importanti ospedali di uno Stato membro non rientrano nell'ambito di applicazione della direttiva NIS e pertanto non sono tenuti ad attuare le risultanti misure di sicurezza, mentre in un altro Stato membro quasi tutti gli ospedali sono soggetti ai requisiti di sicurezza della direttiva NIS.
Essendo un'iniziativa del programma di controllo dell'adeguatezza e dell'efficacia della regolamentazione (REFIT), la direttiva mira a ridurre l'onere normativo per le autorità competenti e i costi di conformità per i soggetti pubblici e privati. In particolare, tale obiettivo è raggiunto abolendo l'obbligo per le autorità competenti di individuare gli operatori di servizi essenziali e aumentando il livello di armonizzazione dei requisiti di sicurezza e segnalazione allo scopo di facilitare la conformità normativa per i soggetti che offrono servizi transfrontalieri. Al contempo, alle autorità competenti sono assegnati anche alcuni nuovi compiti, tra cui la vigilanza di soggetti in settori che non rientravano nella prima direttiva NIS.
In conclusione, quindi, i fattori determinanti della necessità di una revisione della normativa possono sintetizzarsi come di seguito:
1) Crescenti attacchi informatici (in particolare l’attacco all’European Medicines Agency con esposizione di dati sensibili sul vaccino prodotto dalla BioNTech – Pfizer);
2) Nuove sfide per il mercato interno dell’UE dettate dalla crescente digitalizzazione (e-commerce, cashless payments, IoT: si prevendono 22.3 miliardi di dispositivi IoT in uso in UE nel 2024);
3) Ruolo sempre più importante e da attenzionare della supply chain (con conseguenti ricadute di rilevanza anche per le piccole e medie imprese);
4) Consapevolezza della necessità di armonizzazione di requisiti, controlli, sanzioni sui territori e negli ordinamenti degli Stati membri;
5) Nuova tecnologia 5G e nuove sfide per il mercato e gli operatori che vi operano;
6) Crisi pandemica per la diffusione del virus Covid-19;
7) Conflitto tra Russia e Ucraina, con il sempre maggiore “coinvolgimento” dell’UE nell’assetto geopolitico mondiale in relazione al posizionamento anche rispetto alla cyberwarfare.
La direttiva, in particolare: a) stabilisce obblighi per gli Stati membri di adottare una strategia nazionale per la cibersicurezza, designare autorità nazionali competenti, punti di contatto unici e CSIRT; b) prevede che gli Stati membri stabiliscano obblighi di gestione e segnalazione dei rischi di cibersicurezza per i soggetti indicati come soggetti essenziali nell'allegato I e come soggetti importanti nell'allegato II; c) prevede che gli Stati membri stabiliscano obblighi in materia di condivisione delle informazioni sulla cibersicurezza.
La direttiva si applica a taluni soggetti essenziali pubblici o privati che operano nei settori elencati nell'allegato I (energia; trasporti; settore bancario; infrastrutture dei mercati finanziari; settore sanitario, acqua potabile; acque reflue; infrastrutture digitali; pubblica amministrazione e spazio) e a taluni soggetti importanti che operano nei settori elencati nell'allegato II (servizi postali e di corriere; gestione dei rifiuti; fabbricazione, produzione e distribuzione di prodotti chimici; produzione, trasformazione e distribuzione di alimenti; settore della fabbricazione e fornitori di servizi digitali).
Le microimprese e le piccole imprese ai sensi della raccomandazione 2003/361/CE della Commissione, del 6 maggio 2003, sono escluse dall'ambito di applicazione della direttiva, ad eccezione dei fornitori di reti di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico, dei prestatori di servizi fiduciari, dei registri dei nomi di dominio di primo livello (top-level domain, TLD) e della pubblica amministrazione, nonché di alcuni altri soggetti, come l'unico fornitore di un servizio in uno Stato membro.
La direttiva stabilisce inoltre un quadro per la divulgazione coordinata delle vulnerabilità e impone agli Stati membri di designare CSIRT che agiscano da intermediari fidati e facilitino l'interazione tra i soggetti segnalanti e i fabbricanti o fornitori di prodotti e servizi TIC. Inoltre, l'ENISA è tenuta a sviluppare e mantenere un registro europeo delle vulnerabilità individuate.
Gli Stati membri sono tenuti a mettere in atto quadri nazionali di gestione delle crisi di cibersicurezza, tra l'altro designando le autorità nazionali competenti responsabili della
gestione di incidenti e crisi di cibersicurezza su vasta scala. Sono inoltre tenuti a designare una o più autorità nazionali competenti in materia di cibersicurezza per i compiti di vigilanza previsti dalla direttiva e un punto di contatto unico nazionale in materia di cibersicurezza (SPOC) che eserciti una funzione di collegamento per garantire la cooperazione transfrontaliera delle autorità degli Stati membri. Gli Stati membri sono inoltre tenuti a designare i CSIRT.
Gli stessi Stati devono garantire che i soggetti che rientrano nell'ambito di applicazione adottino misure tecniche e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informatici e di rete. Essi hanno inoltre l'obbligo di garantire che i soggetti notifichino alle autorità nazionali competenti o ai CSIRT qualsiasi incidente di cibersicurezza che abbia un impatto significativo sulla fornitura dei loro servizi.
I registri dei TLD e i soggetti che forniscono servizi di registrazione dei nomi di dominio per i TLD devono raccogliere e mantenere dati di registrazione dei nomi di dominio accurati e completi. Inoltre, tali soggetti sono tenuti a fornire un accesso efficiente ai dati di registrazione del dominio per i legittimi richiedenti l'accesso.
